Ο Facebook λογαριασμό σου μπορεί να χακαριστεί μέσα σε λίγα λεπτά. Σε αυτό το άρθρο Α) καταγράφουμε τις συνηθέστερες μεθόδους που χρησιμοποιούν οι επίδοξοι hackers Β) προτείνουμε τις βέλτιστες πρακτικές που θα προστατέψουν τον λογαριασμό σου από κακόβουλες επιθέσεις.
Την ώρα που γράφεται αυτό το άρθρο (ξημερώματα Κυριακής προς Δευτέρα 12/12/16) το πιθανότερο είναι πως κάποιοι hackers σκαρφίζονται νέους τρόπους να χακάρουν τους Facebook λογαριασμούς μας. Έτσι, αυτό το άρθρο, δεν μπορεί να θεωρηθεί ποτέ πλήρες. Μπορεί όμως να σε βοηθήσει να κατανοήσεις τις συνηθέστερες μεθόδους των σύγχρονων hackers & τους τρόπους που μπορείς να προστατευτείς. Όσο μπορείς τουλάχιστον. Παρακάτω τους αναλύουμε έναν προς έναν. Καλό είναι να θυμάσαι πως οι τεχνικές που απαριθμούνται, εφαρμόζονται από τους χάκερς όχι μόνο στο Facebook, αλλά και σε άλλες δημοφιλείς ιστοσελίδες που χρησιμοποιούμε καθημερινά, όπως η Google, το Twitter, το Yahoo κ.λ.π.
Phising
Υπάρχουν τουλάχιστον 12 καταγεγραμμένα είδη Phishing στο ίντερνετ, αλλά εμείς θα σταθούμε κυρίως για το χακάρισμα ενός Facebook λογαριασμού.
Πώς λειτουργεί το phishing στο Facebook
H διαδικασία που ακολουθούν οι χάκερς είναι απλή. Συνήθως σε προσεγγίσουν με διάφορους τρόπους, όπως το email, τα προσωπικά μηνύματα μέσω messenger, διαφημιστικές ιστοσελίδες κ.α. Κάνοντας κλικ σε οποιοδήποτε σύνδεσμο από αυτά τα μηνύματα, οδηγείσαι σε μία ψεύτικη σελίδα σύνδεσης στο Facebook. Παρατήρησε το url μιας ψεύτικης Facebook login σελίδας στην Εικόνα 1 (για την μεγαλώσεις απλά κάνε κλικ επάνω στην εικόνα). Όπως θα διαπιστώσεις το www.Facebouk.com δεν διαφέρει σε τίποτε με την αυθεντική login σελίδα του Facebook. Είναι όμως μια σελίδα fishing.
Εικόνα 1
Αν κάνεις το λάθος και μπεις σε μία τέτοια σελίδα, (θεωρώντας την ως την πραγματική σελίδα σύνδεσης στο Facebook), ουσιαστικά βλέπεις ότι ακριβώς θα έβλεπες και στην login σελίδα του Facebook. Βάζοντας όμως το login name σου και τον κωδικό του, έχεις ουσιαστικά παραδώσει τα στοιχεία του λογαριασμό σου στον hacker, ενώ ταυτόχρονα οδηγείσαι στην πραγματική σελίδα του Facebook! Έτσι σπάνια (έως ποτέ) θα αντιληφθείς την κακόβουλη πράξη. Το χειρότερο όμως είναι ότι ο χάκερ έχει πλέον πρόσβαση στο λογαριασμό σου και μπορεί να χρησιμοποιήσει τα διαπιστευτήρια σου, για να συνδεθεί και να στείλει προσωπικά μηνύματα σε όλους τους φίλους σου. Αν οι φίλοι κάνουν το ίδιο λάθος με εσένα, τότε ο χάκερ αποκτά πρόσβαση και στους δικούς του λογαριασμούς…
Πώς μπορείς να προστατευθείς από το Phishing
Το ασφαλέστερο θα ήταν να μην κάνεις κλικ σε link που δεν γνωρίζεις. Κάτι τέτοιο όμως, δεν είναι πάντα ρεαλιστικό. Έτσι, όποτε οδηγείσαι με link σε κάποια ιστοσελίδα, είναι σημαντικό να ελέγχεις 2 πράγματα. Αυτά κρύβονται στο URL της ιστοσελίδας που επισκέπτεσαι. Στην περίπτωση του του Facebook:
- Έλεγξε το URL της ιστοσελίδας που βλέπεις στη μπάρα αναζήτησης (εικόνα 2). Είναι όντως το https://www.facebook.com/ (έκδοση αγγγλική) ή https://el-gr.facebook.com/(έκδοση ελληνική) τότε feel free να συνεχίσεις την περιήγηση σου. Σε κάθε άλλη περίπτωση ρισκάρεις.
- Υπάρχει πράσινο σύμβολο ασφαλείας (HTTPS) στη μπάρα της διεύθυνσης (η κλειδαριάς της εικόνας 2); Αν ναι, μπορείς να αισθάνεσαι πιο ασφαλής. Προσοχή! Σε σπάνιες περιπτώσεις, το πράσινο σύμβολο (κλειδαριά) στο URL δεν εγγυάται την ασφάλεια σου. Το θράσος των χάκερς δεν έχει όρια. Υπάρχουν καταγεγραμμένες περιπτώσεις όπου hacker προχώρησαν ακόμη και σε αγορά πιστοποιητικού ασφαλείας SSL (HTPPS) για να ξεγελάσουν τα θύματα τους. Γι΄αυτό κάθε φορά που επισκέπτεσαι την login σελίδα του Facebook, πέρα από το πράσινο σύμβολο (κλειδαριά) ρίξε και μια προσεκτική ματιά σε όλο το URL όπως σου υποδείχθηκε στην περίπτωση 1. Αν δεις κάτι σαν αυτό https://www.facebook.com.domain.com τότε πρόκειται για σελίδα ενός άλλου domain και όχι για την αρχική σελίδα του Facebook. Κατ΄επέκταση, μείνε μακριά.
Εικόνα 2.
Social Engineering (ή Κοινωνική μηχανική)
Το Social Engineering είναι η δεύτερη πιο κοινή μέθοδος των χάκερς, προκειμένου να αποκτήσουν πρόσβαση στον Facebook λογαριασμό σου. Στην πραγματικότητα, αυτή η τεχνική δεν υπάγεται ακριβώς στο Hacking. Το Social Εngineering είναι βασικά μία διαδικασία συλλογής πληροφοριών.
Πώς λειτουργεί το Social Engineering (ή Κοινωνική μηχανική)
Ο χάκερ εστιάζει στον λογαριασμό που θέλει να χακάρει, συγκεντρώνει όσες περισσότερες πληροφορίες μπορεί για το προφίλ του χρήστη, (ημερομηνία γέννησης, αριθμός τηλεφώνου, όνομα μητέρας, τόπος καταγωγής κλπ.) Με αυτές τις πληροφορίες, ο hacker βασίζεται σε γνωστά μοτίβα συμπεριφοράς των χρηστών του ίντερντε και είναι σε θέση να μαντέψει τον κωδικό σου. Επιπλέον είναι σε θέση να μαντέψει την απάντηση σε τυχόν ερώτησεις ασφαλείας που επέλεξες, για να προσθέσεις ένα διπλό επίπεδο ασφάλειας στους λογαριασμό σου.
Πώς μπορείς να προστατευθείς από το Social Engineering (ή Κοινωνική μηχανική)
- Facebook λογαριασμοί που έχουν ως κωδικό το όνομα μας, την ημερομηνία γέννησης ενός δικού μας ανθρώπου, το όνομα ενός φίλου μας* κλπ είναι η πιο εύκολη λεία για κάθε επίδοξο χάκερ. Άλλαξε τους σήμερα κιόλας!
- Θυμήσου πως οι 4ψήφιοι κωδικοί απαιτούν 10.000 συνδυασμούς από τον χάκερ, για να μαντέψει τον σωστό κωδικό ασφαλείας. Οι 6ψήφιοι απαιτούν 1.000.000 συνδυασμούς και ούτω κάθε εξής. Τουλάχιστον ευχαριστήσου το! Κάν’ του τη ζωή δύσκολη χρησιμοποιώντας πάνω από 10ψήφιους κωδικούς και φρόντισε αυτοί να περιλαμβάνουν κεφαλαία γράμματα, μικρά γράμματα, αριθμού και σύμβολα.
- Χρησιμοποίησε διαφορετικά passwords για διαφορετικούς λογαριασμούς.. Ένας κωδικός για όλους τους λογαριασμού σου (πχ. ίδιος για Facebook, Εmail, LinkedIn κλπ) είναι σαν να προκαλείς την τύχη σου και αναμφίβολα πολλαπλασιάζει τις πιθανότητες να πέσεις θύμα hacking.
- Πραγματοποίησε καλού κακού ένα Facebook Security Check Up. Το μόνο που έχεις να κάνεις είναι να ακολουθήσεις τις οδηγίες που σου δίνει η Facebook.
- Πήγαινε στα settings του προσωπικού σου λογαριασμού (Εικόνα 3) και ενεργοποίησε τα “Login Alerts”. Aν θέλεις να κάνεις ακόμη πιο δύσκολη των ζωή του χάκερ, ενεργοποίησε στην ίδια σελίδα (Settings) και το “Login Approvals” ( Εικόνα 4)
Εικόνα 3
Εικόνα 4
*ΠΡΟΣΟΧΗ: Μερικά παραδείγματα κοινών κωδικών (password), που ο κόσμος τείνει να χρησιμοποιεί στο Facebook:
- Όνομα, nickname, ημερομηνία γέννησης ή συνδυασμός αυτών
- Αριθμός τηλεφώνου του ερωτικού συντρόφου
- Όνομα του ερωτικού συντρόφου
- Συνδυασμός του ονόματος του χρήστη με το όνομα του συντρόφου του/της
- Αριθμός τηλεφώνου που δεν χρησιμοποιείται πια
- Όνομα κατοικίδιου
- Το όνομα κοντινού ατόμου (φίλου, συγγενή κλπ)
Κey Logger
Το Key logger είναι ένα software που χρησιμοποιείται για να καταγράφει τα χτυπήματα στο πληκτρολόγιο ενός υπολογιστή. Ουσιαστικά καταγράφει οτιδήποτε πληκτρολογείς και το αποθηκεύει για μετέπειτα χρήση.
Πώς λειτουργεί το Key Logger
Για να πέσεις θύμα του Key Logger θα πρέπει να συμβαίνουν δύο τινά. Ή κάποιος έχει εγκαταστήσει το key logger στον υπολογιστή σου εν αγνοία σου, ή έχεις χρησιμοποιήσει ξένο υπολογιστή που ήταν παγιδευμένος με key logger. Και στις 2 περιπτώσεις, είσαι χαμένος/η από χέρι. Ένας τέτοιος παγιδευμένος υπολογιστής, “εργάζεται” στο background και εσύ (ο χρήστης) δε μπορείς να αντιληφθείς τις καταγραφές του. Έτσι το key logger καταγράφει τις κινήσεις σου και παρέχει μία αναλυτική εικόνα στον χάκερ, για το πότε και ποια πλήκτρα χρησιμοποίησες και μάλιστα για ποια εφαρμογή. Οποιοσδήποτε μπορεί να διαβάσει τις καταγραφές του keylogger, μπορεί να δει τους Facebook κωδικούς σου, αλλά και άλλους κωδικούς που πληκτρολογήθηκαν. Επίσης ο χάκερ σε τέτοιες περιπτώσεις εύκολα μπορεί να συλλέξει ευαίσθητες πληροφορίες όπως πιστωτικές κάρτες, κωδικούς τραπεζών κλπ.
Πώς μπορείς να προστατευθείς από το Key Logger
- Δεν χρειάζεται να ανησυχείς όταν χρησιμοποιείς τον προσωπικό σου υπολογιστή. Όμως, κάθε φορά που χρησιμοποιείς δημόσιους υπολογιστές, ή κάποιον υπολογιστή γνωστού σου, καλό θα ήταν να είσαι προσεκτικός/ή.
- Αν για κάποιο λόγο χρειάζεται να χρησιμοποιήσεις άμεσα ένα ξένο υπολογιστή που δεν εμπιστεύεσαι, μια λύση για την πληκτρολόγηση των κωδικών σου, είναι το On Screen Keyboard της Microsoft. Αυτό σου επιτρέπει να επιλέξεις πλήκτρα με την χρήση μόνο του ποντικιού. Για να βρεις το keyboard στα Windows, πάτησε ταυτόχρονα στο πληκτρολόγιο σου το Windows key & το πλήκτρο R. Αμέσως μετά θα δεις να ανοίγει ένα κουτί διαλόγου. Μέσα σε αυτό, πληκτρολόγησε τη λέξη osk, πάτησε enter και….voilà το πληκτρολόγιο που μπορείς να ελέγξεις με το ποντίκι σου! Τώρα μπορείς να νιώθεις πιο ασφαλής, καθώς κανείς δεν καταγράφει τους κωδικούς σου. Δεν είναι τυχαίο πως αυτήν την μέθοδο ασφαλείας χρησιμοποιούν και τραπεζικοί οργανισμοί.
Browser Επεκτάσεις
Όλοι μας έχουμε χρησιμοποιήσει κάποιο προσθήκη (extension) ή εφαρμογή (app) στον Chrome ή Firefox browser μας. Λίγοι όμως γνωρίζουν πως κάποια από αυτά τα apps στο browser μας, δεν είναι πάντα ασφαλή. Πίσω από αυτά τα apps, μπορεί να κρύβονται χάκερς που επιθυμούν (έστω) μερική πρόσβαση στους λογαριασμούς μας, για να τους αξιοποιήσουν για δικό τους όφελος.
Πώς λειτουργεί το hacking στις Browser Επεκτάσεις
Όταν επισκέπτεσαι κάποια κακοπροαίρετη ιστοσελίδα, εμφανίζεται ένα παράθυρο που σε παρακινεί να εγκαταστήσεις μία προσθήκη (ή app ή extension) στο browser σου. Μόλις εγκαταστήσεις την προσθήκη, αυτή αρχίζει να εφαρμόζει όλες τις εντολές που της δίνει ο χάκερ. Αυτή η μέθοδος δεν επιτρέπει στον χάκερ να έχει πλήρη πρόσβαση στο λογαριασμό σου στο Facebook, αλλά του δίνει κάποια επίπεδα εξουσιοδότησης, να ελέγξει το λογαριασμό σου έμμεσα. Για παράδειγμα, μπορεί να δραστηριοποιείται κρυφά, κάνοντας like σε κάποια σελίδα μέσω του δικού σου προφίλ στο Facebook, να προσθέτει το προφίλ σου σε διάφορα groups στο facebook, να προσκαλεί φίλους σου να κάνουν like σε σελίδες ή join σε ομάδες, κ.λ.π
Πώς μπορείς να προστατευθείς από το hacking μέσω Browser Επεκτάσεων
- Ανέτρεξε ανά τακτά χρονικά διαστήματα στον έλεγχο της δραστηριότητας σου στο facebook (το λινκ θα ανοίξει μόνο αν είσαι ήδη συνδεδεμένος στο Facebook. Αν δεν είσαι συνδεδεμένος, ανέτρεξε στις οδηγίες της Facebook εδώ για περισσότερα)
- Είναι σημαντικό να μην εμπιστεύεσαι κανένα website που σε ωθεί στην εγκατάσταση κάποιας προσθήκης στο browser σου. Κάνε τέτοιες εγκαταστάσεις μόνο εάν εμπιστεύεσαι τον πάροχο. Ειδικά για τα κινητά, σου προτείνουμε να εγκαθιστάς εφαρμογές που προέρχονται MONO από το Apple Store (για iphone) & Play Store (για Android) και ΜΟΝΟ αφού έχεις διαβάσει τα reviews κάθε εφαρμογής (και έχεις βεβαιωθεί πως την έχουν χρησιμοποιήσει επιτυχώς χιλιάδες άλλοι πριν από εσένα)
Hacking μέσω κακοπροαίρετης Facebook εφαρμογής
Όλα τα apps που χρησιμοποιείς στο Facebook ανήκουν σε κάποια άλλη εταιρία και όχι στη Facebook. Αυτό δεν σημαίνει πως όλα αυτά τα apps είναι επικίνδυνα. Απλά σημαίνει πως οφείλεις να είσαι πιο προσεκτικός/ή. Μία κακόβουλη εφαρμογή που ζητά την άδειά σου, μπορεί να κάνει εν΄αγνοία σου πολλά στο Facebook προφίλ σου.
Πώς λειτουργεί το χακάρισμα μέσω μιας Facebook εφαρμογής (app)
Κάθε φορά που συνδέεσαι μέσω Facebook (ή κάνεις Login using Facebook) μέσω ενός τρίτου website, πρέπει να γνωρίζεις, ότι η εφαρμογή αυτή ανήκει σε κάποιον εξωτερικό πάροχο και όχι στη Facebook. Όταν επιλέγεις το Login using Facebook, εμφανίζεται ένα παράθυρο διαλόγου Facebook. Σε αυτό, η Facebook σε ρωτάει αν επιθυμείς να δώσεις την άδειά σου στην εφαρμογή του 3ου πάροχου, για πρόσβαση σε πληροφορίες του λογαριασμού σου. Μόλις δώσεις την έγκριση σου, η εφαρμογή αυτή έχει πρόσβαση στις προσωπικές σου πληροφορίες μέσω του Facebook λογαριασμού σου. Έτσι μπορεί να προχωρήσει σε συγκεκριμένες ενέργειες στο λογαριασμό σου (εκ μέρους σου, ανάλογα με το βαθμό πρόσβασης που έδωσες), όπως να:
- αναρτήσει φωτογραφίες και ενημερώσεις της κατάστασής σου
- μοιράσει συνδέσμους στο χρονολόγιο σου ή στο χρονολόγιο οποιασδήποτε ομάδας ανήκεις
- διαχειριστεί τη Facebook σελίδα σου
- κάνει αναρτήσεις εκ μέρους σου, σε σελίδες που διαχειρίζεσαι
- έχει πρόσβαση στις προσωπικές πληροφορίες σου
- έχει πρόσβαση στις φωτογραφίες σου, ακόμα και σε όσες μπορείς να δεις μόνο εσύ, ή ακόμα και στις φωτογραφίες της τηλεφωνικής συσκευής σου.
Πώς μπορείς να προστατευθείς από το χακάρισμα μιας Facebook εφαρμογής (app)
- Εάν δεν εμπιστεύεσαι την ιστοσελίδα ή την εφαρμογή, που σου ζητά πρόσβαση στο Facebook λογαριασμό σου, μη δίνεις την άδειά σου.
- Αν πάλι θέλεις πραγματικά να αποκτήσεις πρόσβαση στην εφαρμογή, επεξεργάσου τις πληροφορίες που θα μοιραστείς, στο παράθυρο διαλόγου που σου ανοίγετε.
- Κάνε τακτικούς ελέγχους των εφαρμογών που έχεις δώσει πρόσβαση στον λογαριασμό σου. Μπορείς να έχεις πρόσβαση σε αυτές, μέσω των Facebook settings (Εικόνα 3). Στο κάθετο αριστερό υπομενού επέλεξε Αpps (Εικόνα 5).
Τι να κάνεις για περισσότερη ασφάλεια
1. Κάνε τακτικά το privacy checkup της Facebook. https://www.facebook.com/privacy/checkup Αν το λινκ δεν λειτουργεί, ακολούθησε τα ακόλουθα βήματα. Πάτα επάνω δεξιά στο εικονίδιο του προφίλ σου, επέλεξε setting & privacy (ρυθμίσεις και ιδιωτικότητα). Στο υπομενού που θα σου ανοίξει επέλεξε settings και μετά privacy checkup. Ακολούθησε τα βήματα που σου υποδεικνύει η Facebook. ΠΡΟΣΟΧΗ. Για μεγαλύτερη ασφάλεια επίλεξε ο αριθμός του κινητού σου και το μειλ σου να είναι ορατά μόνο από εσένα (only me ή μόνο εγώ) και όχι “public ή δημόσιο”.
2. Τσέκαρε τακτικά τα στοιχεία επικοινωνίας σου στο facebook και τους ρόλους admin. Αν διαπιστώσεις κάποια περίεργη αλλαγή, άλλαξε άμεσα κωδικούς.(βάλε ισχυρούς και δύσκολους)
3. Βεβαιώσου ότι έχεις ενεργοποιημένη την 2FA ασφάλεια.
4. Για απόλυτη σιγουριά, αν γνωρίζεις πώς να το κάνεις, χρησιμοποίησε yubikey από yubico.com (δημιουργεί νέα μοναδικά passwords αλλά και πολλούς πονοκεφάλους σε όσους δεν γνωρίζουν να το αξιοποιούν σωστά)
5. Αν έχεις την υποψία ότι ο λογαριασμό σου δέχεται απειλή, δήλωσε το έκγαιρα στο Facebook https://www.facebook.com/hacked
6. Aν θέλεις να προστατεύσεις την επαγγελματική σου σελίδα φρόντισε όλη η διαδικασία επαλήθευσης και διαμοιρασμού ρόλων να γίνει μέσω Business Manager και όχι μέσω της σελίδας σου. Προσοχή, αν δεν είσαι σίγουρη/ος για το πως γίνεται αυτό, καλύτερα να ζητήσεις τη βοήθεια ενός επαγγελματία. Έχω δει πολλούς Business Manager να μπλοκάρονται από Facebook λόγω κακών χειρισμών.
7. Μην ελπίζεις και πολλά από το support του Facebook. Είναι για γέλια και κλάματα. Δυστυχώς όμως δεν υπάρχει άλλος τρόπος να επικοινωνήσεις μαζί τους. (Εμείς έχουμε επικοινωνία με ένα dedicated account manager, γιατί είμαστε media agency, αλλά αυτοί οι managers δεν ασχολούνται με τέτοια θέματα. Όσες φορές ζήτήσαμε την βοηθεια τους για λογαριασμό πελατών μας, μας παρέπεμψαν στο support και αντιμετωπίσαμε τη ίδια παγερά αδιάφορη στάση). Αυτό που σου προτείνω είναι να στέλνεις καθημερινά ένα μήνυμα στο inbox του FB support (πάντα ευγενικό, αλλά να αφήνει κι την αίσθηση του επείγοντος). Μπορεί κάποιος να φιλοτιμηθεί να το ανοίξει και να το διαβάσει πιο γρήγορα από ότι συνηθίζεται.
8. Μην αποθηκεύεις τους Facebook login κωδικούς σου στον υπολογιστή σου (όπως και κανένα κωδικό γενικά). Στο κινητό, κάνε login μόνο μέσω του Facebook app.
Διάβασε περισσότερα εδώ για το πώς χάκερ αποκτά πρόσβαση σε Facebook επαγγελματική σελίδα και πετάει έξω τον admin_ιδιοκτήτη της σελίδας.Τι μπορείς να κάνεις για να προλάβεις ένα χακάρισμα του λογαριασμού σου
Συνοψίζοντας
Κανείς δεν θα ήθελε να δει τον Facebook λογαριασμό του να χακάρεται, ελάχιστοι όμως παίρνουν τα μέτρα για να τον προστατέψουν πραγματικά. Οι χάκερς δείχνουν ιδιαίτερη προτίμηση σε μεθόδους όπως το Phishing, το Social Engineering, το Key Logger, κ.ά Ευτυχώς για τους χρήστες, υπάρχουν κάποιες απλές πρακτικές, που μπορούν να εφαρμόσουν για να προστατευθούν από τέτοιες κακόβουλες επιθέσεις. Μια τέτοια γνώση μπορεί να λειτουργήσει σαν ασπίδα προστασίας αν την εφαρμόσει κανείς στην πράξη. Με δεδομένο όμως, ότι η εφευρετικότητα των hackers είναι ανεξάντλητη, καλό είναι οι χρήστες να ενημερώνονται τακτικά για τις νέες εξελίξεις στο hacking.
Σημείωση: To άρθρο αυτό δημιουργήθηκε τον Οκτώβριο του 2016 για τις ανάγκες των Mentees του Business Mentor Greece. Επικαιροποιήθηκε και δημοσιεύεται στο ευρύ κοινό στις 19/12/22 με την ελπίδα ότι θα βοηθήσει και άλλους χρήστες να προστατευθούν από κακόβουλες επιθέσεις.
Μοιράσου γνώση με τους φίλους σου!